会社用プライベートCA 基盤を ルートCA (offline,20年) - 中間CA (offline 10年) - 発行元CA (online 5年) で作成してみる。 offlineサーバについては、VirtualServer2005 のディスクイメージおよび証明機関としてのバックアップを DVD-R に記録して、 3枚作成の後、災害対策となる異なるロケーションにおいて金庫などに安全に保管する。
Windows2003の場合、デフォルトのCRL配布ポイントは http://[フルコンピュータ名]/CertEnroll/[CommonName].crl となる。offline CA において作業した際は、CRLを出力して該当のURLで参照できる位置にファイルを転送する。 ルートCAに関するCRLがないと、中間CAはサービス開始することもできないので、 この構成にした場合 CRL に関する設定は必須。
なので、offline CA マシンは、ドメインメンバサーバにしない状態で、フルコンピュータが[別のWebサーバで提供可能なURLを構成できる]よう設定しておく。
中間CA に対してルートCAで発行された証明書をダウンロードする際は、チェーン証明書の方がよいらしい。
前にもメモっておいたと思ったんだが…。PKI を構成する時は必読。
大雑把には HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\[CAName] の ValidityPeriodUnits を書換えて、 サービスを再起動する。 最近のCAでよくあるように+1ヶ月猶予を持たせるため、 ValidityPeriodUnit には Months を設定し、ValidityPeriodUnits に 121 または 61 を設定する。